Jetzt kostenlos testen
Testzugang
Zurück
AGB

Allgemeine Geschäftsbedingungen

Software-as-a-Service-Vertrag

Hivebuy bietet den eigenen Kunden im Rahmen einer Software-as-a-Service-Lösung einen webbasierten Zugang im Bereich Beschaffung und eProcurement („SaaS-Lösung“) an. Über die SaaS-Lösung ist es dem Kunden möglich, den gesamten Beschaffungsprozess, von der Beschaffungsentscheidung an über die Auswahl von und Kontaktaufnahme mit möglichen Lieferanten bis hin zur Durchführung und Verwaltung von Bestellungen einschließlich anschließender Ablage und Verwaltung der Bestelldokumentation zu steuern und zu vereinfachen. Dieser Software-as-a-Service-Vertrag einschließlich seiner Anlagen („Vertrag“) regelt das Vertragsverhältnis zwischen Hivebuy und dem Kunden über die Nutzung der SaaS-Lösung.

1) Gegenstand und Zustandekommen des Vertrages; AGB des Kunden

1.1) Die SaaS-Lösung richtet sich nur an Unternehmer im Sinne des § 14 BGB. Unternehmer sind natürliche oder juristische Personen oder rechtsfähige Personengesellschaften, die bei Abschluss des Vertrages in Ausübung ihrer gewerblichen oder selbstständigen beruflichen Tätigkeit handeln. Hivebuy behält sich vor, geeignete Angaben anzufragen und Nachweise zu verlangen, aus denen sich ergibt, dass es sich bei dem Kunden nicht um einen Verbraucher gemäß § 13 BGB handelt. Ein Anspruch auf Vertragsschluss besteht nicht.

1.2) Sofern nicht abweichend vereinbart, gilt dieser Vertrag auch entsprechend für die Dauer einer kostenlosen Bereitstellung der SaaS-Lösung („Trial-Periode“) in Form einer Testversion („Trial-Version“) durch Hivebuy. Die Bereitstellung der Trial-Version soll es dem Kunden ermöglichen, den Umgang mit der SaaS-Lösung und deren Funktionsumfang während der Trial-Periode zu testen und eine Entscheidungsgrundlage dafür zu schaffen, ob der Kunde die SaaS-Lösung im Anschluss an die Trial-Periode kostenpflichtig nutzen möchte.

1.3) Der Vertrag kann entweder durch Ausfertigung des Auftragsformulars in schriftlicher Form oder Textform („Offline-Vertragsschluss”) oder durch Registrierung des Kunden innerhalb der SaaS-Lösung („Online-Vertragsschluss”) geschlossen werden. Sowohl der Offline-Vertragsschluss als auch der Online-Vertragsschluss muss durch einen vertretungsberechtigten Mitarbeiter oder Vertreter des Kunden erfolgen.

1.4) Der Kunde erhält zunächst auf Anfrage (im Falle eines Offline-Vertragsschlusses) oder auf Registrierung innerhalb der SaaS-Lösung (im Falle eines Online-Vertragsschlusses) Zugangsdaten zur Nutzung der Trial-Version für eine zwischen den Parteien vereinbarte Trial-Periode.

1.5) Im Falle eines Offline-Vertragsschlusses, füllt der Kunde nach Ablauf der Trial-Periode das Auftragsformular in Absprache mit Hivebuy in schriftlicher Form oder Textform aus und übersendet dieses an Hivebuy.

1.6) Im Falle eines Online-Vertragsschlusses, füllt der Kunde innerhalb des Registrierungsprozesses der SaaS-Lösung alle von Hivebuy als notwendig gekennzeichneten, abgefragten Informationen    aus und klickt zum Abschluss des Registrierungsprozesses auf den „Jetzt abonnieren“-Button. Bis zu einem Klick auf den „Jetzt abonnieren“-Button kann der Kunde den Online-Vertragsschluss   jederzeit abbrechen oder die gemachten Angaben verändern, indem er die gemachten Angaben in den verschiedenen Feldern löscht, ergänzt oder berichtigt oder der Kunde seinen Webbrowser bzw. das Tab schließt. Nach Beendigung des Registrierungsprozesses kann der Kunde die gemachten Angaben in seinem von Hivebuy innerhalb der SaaS-Lösung zur Verfügung gestellten Kundenkonto jederzeit verändern.

1.7) Mit der Übersendung des Auftragsformulars an Hivebuy (im Falle eines Offline-Vertragsschlusses) oder dem Abschluss des Registrierungsprozesses (im Falle eines Online-Vertragsschlusses) gibt der Kunde gegenüber Hivebuy einen rechtlich verbindlichen Antrag auf Abschluss des Vertrags zur kostenpflichtigen Nutzung der SaaS-Lösung ab („Angebot“). Im Falle eines Online-Vertragsschlusses wird Hivebuy dem Kunden unverzüglich nach Eingang des Angebots bei Hivebuy eine Bestätigung über den Eingang des Angebots an die E-Mail-Adresse senden, die der Kunde im Rahmen des Registrierungsprozesses angegeben hat. Diese Bestellbestätigung stellt jedoch noch keine Annahme des Angebots des Kunden dar.

1.8) Ein Vertrag zwischen Hivebuy und dem Kunden über die kostenpflichtige Nutzung der SaaS-Lösung kommt erst zustande, wenn Hivebuy das Angebot angenommen hat. Die Annahmeerklärung durch Hivebuy erfolgt durch Übersendung einer Auftragsbestätigung in Papierform oder als elektronische Kopie (z.B. per E-Mail) an den Kunden („Vertragsschluss“).

1.9) Hivebuy speichert den Vertragstext nach Vertragsschluss nicht. Der Kunde erhält mit Vertragsschluss eine Ausfertigung der Auftragsbestätigung in Papierform oder als elektronische Kopie (z.B. per E-Mail) . Der Vertrag kann in deutscher Sprache   geschlossen werden.

1.10) Allgemeine Geschäftsbedingungen des Kunden werden nur dann Vertragsbestandteil, wenn Hivebuy dem ausdrücklich schriftlich zustimmt.

2) Leistungen von Hivebuy

2.1) Hivebuy stellt dem Kunden zeitlich befristet für die Laufzeit des Vertrages den Zugriff auf die SaaS-Lösung über das Internet zur Verfügung. Der genaue Umfang der von Hivebuy bereitzustellenden Leistungen ergibt sich aus dem Auftragsformular sowie den Regelungen dieses Vertrags . Über die vereinbarten Leistungen hinaus hat der Kunde keinen Anspruch auf eine bestimmte Ausgestaltung oder bestimmte Funktionalitäten der SaaS-Lösung.

2.2) Der Kunde hat die Möglichkeit, über die SaaS-Lösung Bestellungen und andere Transaktionen bei Dritten zu initiieren und innerhalb der SaaS-Lösung unterschiedliche Bestellprozesse zu verwalten. Der Kunde erkennt an, dass im Fall von Bestellungen und anderen Transaktionen oder Bestellprozessen, die der Kunde über die SaaS-Lösung oder unter Verwendung der SaaS-Lösung initiiert oder verwaltet, nicht Hivebuy, sondern der jeweilige Dritte Vertragspartner der Bestellung oder anderen Transaktion und des zugrundeliegenden Beschaffungsvertrags wird und der Kunde keine Rechte gegenüber Hivebuy aus einem solchen Beschaffungsvertrag zustehen. Sofern Hivebuy in diesem Zusammenhang Willenserklärungen des Kunden gerichtet auf die Initiierung oder Verwaltung von Bestellungen oder anderen Transaktionen oder den Abschluss von Beschaffungsverträgen übermittelt, tritt Hivebuy lediglich als Erklärungsbote auf; Vertragspartner des Kunden in Bezug auf solche Bestellungen oder Transaktionen und die zugrundeliegenden Beschaffungsverträge ist auch in diesen Fällen der jeweilige Dritte. Für die ordnungsgemäße Erfüllung der Bestellungen, Transaktionen und des jeweils zugrundeliegenden Beschaffungsvertrags, eine etwaige Rückabwicklung sowie sämtliche Ansprüche aus oder im Zusammenhang mit dem jeweils geschlossenen Beschaffungsvertrag ist daher nicht Hivebuy, sondern der jeweilige Dritte verantwortlich.

Der Kunde ist dafür verantwortlich, im Rahmen der Initiierung oder Verwaltung einer Bestellung, Transaktion oder eines zugrundeliegenden Beschaffungsvertrags mit einem Dritten die Richtigkeit der über die SaaS-Lösung initiierten Bestellungen und anderen Transaktionen, die innerhalb der SaaS-Lösung verwalteten Bestellprozesse und die durch Hivebuy übermittelten Willenserklärungen zu überprüfen und sich über deren Richtigkeit zu vergewissern.

2.3) Betrieb und Wartung der SaaS-Lösung obliegen Hivebuy. Ort der Leistungsübergabe ist der Routerausgang des Rechenzentrums. Für das Vorhalten des Internetzugangs und der für den Zugang zur SaaS-Lösung ggf. beim Kunden erforderlichen Hardware (z.B. Router, Smart Device) oder Software (z.B. Browser) ist der Kunde verantwortlich. Der Kunde hat keinen Anspruch auf Zugang zu den Quellcodes der von Hivebuy bereitgestellten SaaS-Lösung.

2.4) Soweit nicht anders vereinbart, beträgt die durchschnittliche Verfügbarkeit der SaaS-Lösung beträgt 98% im Jahresmittel   . Ausgenommen davon sind erforderliche geplante Wartungsarbeiten sowie Störungen, die nicht im Einflussbereich von Hivebuy liegen (insbesondere höhere Gewalt). Hivebuy wird den Kunden nach Möglichkeit über geplante Wartungsarbeiten rechtzeitig in Textform an den gegenüber Hivebuy benannten Ansprechpartner in Kenntnis setzen. Allerdings bleibt es Hivebuy ausdrücklich vorbehalten, falls erforderlich, auch unangekündigte Wartungsarbeiten durchzuführen, insbesondere, wenn dies für die Daten- und Betriebssicherheit erforderlich ist.

2.5) Hivebuy ermöglicht es dem Kunden, Daten und Inhalte (im Sinne der Ziffer 4.2.1) im Rahmen der SaaS-Lösung zu speichern. Hivebuy führt täglich Datensicherungen der SaaS-Lösung sowie der vom Kunden gespeicherten Daten und Inhalte durch und bewahrt solche Datensicherungen während der gesamten Laufzeit des Vertrags zuzüglich der in Ziffer 10.5 genannten Zeit auf, sofern Hivebuy nicht gesetzlich oder behördlich (insbesondere aus handels- oder steuerrechtlichen Gründen) zu einer längeren Aufbewahrung verpflichtet ist   . Eine individuelle Überprüfung der Richtigkeit und Vollständigkeit der Datensicherungen erfolgt nicht und ist nicht geschuldet. Eine von Hivebuy vorgenommene Datensicherung entbindet den Kunden nicht von der Einhaltung eigener rechtlicher Verpflichtungen, insbesondere der Verpflichtung zur Durchführung einer ordnungsgemäßen Buchführung.

2.6) Der Kunde ist während der gesamten Laufzeit des Vertrags dazu berechtigt, die durch ihn im Rahmen der SaaS-Lösung gespeicherten Daten und Inhalte (im Sinne der Ziffer 4.2.1) aus der SaaS-Lösung herunterzuladen.

2.7) Hivebuy stellt dem Kunden eine Dokumentation der SaaS-Lösung   sowie Hinweise zu deren Benutzung in elektronischer Form in deutscher Sprache  online zum Abruf zur Verfügung. Der Kunde ist nicht berechtigt, die Dokumentation oder Benutzungshinweise zu bearbeiten, zu verbreiten oder öffentlich zugänglich zu machen.

2.8) Hivebuy ist berechtigt, zur Leistungserbringung nach eigenem Ermessen Subunternehmer   als Erfüllungsgehilfen zu beauftragen.

2.9) Hivebuy kann in folgenden Fällen Änderungen an der SaaS-Lösung vornehmen:

2.9.1) Erweiterungen und Weiterentwicklungen

Hivebuy ist berechtigt, den zu erbringenden Leistungen jederzeit zusätzliche Funktionen hinzuzufügen. Nach Abschluss dieses Vertrages von Hivebuy eingeführte Funktionen gelten – soweit nicht anders vereinbart – als kostenlos erbrachte Zusatzleistungen. Hivebuy ist berechtigt, diese unter Abwägung der beiderseitigen Interessen wieder einzustellen. Es bleibt Hivebuy ebenfalls vorbehalten, optionale Erweiterungen und Weiterentwicklungen nur gegen Zahlung einer zusätzlichen Vergütung und unter Abschluss einer Ergänzungsvereinbarung anzubieten. Bucht der Kunde eine Erweiterung oder Weiterentwicklung oder eine nicht bereits im Rahmen des Vertragsschlusses gebuchte Funktionalität kostenpflichtig durch eine entsprechende Ergänzungsvereinbarung zu diesem Vertrag hinzu, gelten für diese Buchung die Regelungen dieses Vertrags entsprechend.

2.9.2) Zumutbare und unwesentliche Änderungen

Hivebuy ist berechtigt, in dem für den Kunden zumutbaren Maße den Funktionsumfang der SaaS-Lösung und der zu erbringenden Leistungen zu ändern, zu beschränken oder einzustellen. Eine solche Änderung ist insbesondere dann zumutbar, wenn sie lediglich unwesentliche Bestandteile der von Hivebuy zu erbringenden Leistungen betrifft (wie beispielsweise bloße Design- oder Darstellungsänderungen, die die Funktionalität der SaaS-Lösung oder der zu erbringenden Leistungen nicht oder bloß geringfügig beeinträchtigen) oder aus wichtigem Grund erforderlich wird. Ein wichtiger Grund liegt insbesondere dann vor, wenn

a) Störungen der Leistungserbringung durch Subunternehmer von Hivebuy vorliegen,
b) die Änderung aus sicherheitstechnischen Gründen geboten ist,
c) die Änderung aufgrund von Änderungen von Gesetzgebung oder Rechtsprechung geboten ist, oder
d) ähnliche wichtige Gründe vorliegen, nach deren Abwägung mit den Interessen des Kunden die betreffende Änderung für den Kunden zumutbar ist.

Vorbehaltlich Ziffer 2.9.3 sind bei jeder Änderung des Funktionsumfangs die in dem jeweiligen Auftragsformular definierten Leistungsmerkmale im Wesentlichen sowie die Hauptleistungspflichten von Hivebuy vollständig zu erhalten.

Betrifft eine Änderung nicht ausschließlich zeitkritische Sicherheitsupdates, Erweiterungen der Funktionen oder nicht nur unwesentliche Bestandteile der SaaS-Lösung oder der von Hivebuy zu erbringenden Leistungen, wird Hivebuy den Kunden über die Änderung mindestens vier (4) Wochen vor deren Inkrafttreten schriftlich oder in Textform hinweisen.

2.9.3) Sonstige Änderungen

Hivebuy ist berechtigt, auch in anderen als den in Ziffern 2.9.1 und 2.9.2 spezifizierten Fällen Änderungen am Funktionsumfang der Leistungen vorzunehmen. In diesem Fall informiert Hivebuy den Kunden über die geplanten Änderungen zwei (2) Monate vor Einführung  der Änderungen. Während dieser Zeit hat der Kunde das Recht, zu erklären, ob er die geplanten Änderungen akzeptiert oder nicht. Äußert der Kunde sich während dieser Frist nicht, gelten die Änderungen als genehmigt. Hivebuy wird den Kunden auf diese Rechtsfolge seines Schweigens in der Änderungsmitteilung hinweisen. Widerspricht der Kunde den Änderungen fristgemäß, hat Hivebuy das Recht, nach seiner Wahl entweder die betroffene Leistung weiterhin ohne die geplanten Änderungen zu erbringen oder den Vertrag mit einer Frist von einem (1) Monat ab Zugang des Widerspruchs des Kunden zu kündigen.

3) Nutzungsrechte

3.1) Mit Vertragsbeginn räumt Hivebuy dem Kunden das zeitlich auf die Vertragslaufzeit beschränkte, nicht ausschließliche, weltweite, nicht übertragbare Recht ein, die SaaS-Lösung vertragsgemäß zu nutzen. Das Nutzungsrecht ist nur insoweit unterlizenzierbar, als dies für die bestimmungsgemäße Nutzung der SaaS-Lösung durch den Kunden zwingend erforderlich ist. Weitergehende gesetzliche Rechte des Kunden bleiben unberührt.

3.2) Von der Rechteeinräumung ausgenommen sind Bestandteile der SaaS-Lösung, die für den Kunden erkennbar Rechten Dritter und insbesondere Open Source Lizenzen unterliegen. Als erkennbar gelten insbesondere solche Bestandteile, die von Hivebuy innerhalb der SaaS-Lösung oder in mitgelieferten Textdateien als Inhalte Dritter offengelegt werden.

4) Pflichten des Kunden

4.1) Zugang und Datensicherheit; Mitwirkung; Kontaktinformationen

4.1.1) Der Kunde versichert, dass er die SaaS-Lösung ausschließlich als Unternehmer im Sinne des § 14 BGB nutzt.

4.1.2) Der Kunde hat für die gesamte Vertragslaufzeit einen Internetzugang und die für die Nutzung der SaaS-Lösung erforderlichen Hardware (z.B. Router, Smart Device) oder Software (z.B. Browser) bereitzuhalten.

4.1.3) Der Kunde hat die Zugangsdaten zu der SaaS-Lösung sicher zu verwahren und darf diese nur jeweils berechtigten Mitarbeitern zugänglich machen. Der Kunde verpflichtet sich, seine Mitarbeiter zum vertraulichen Umgang mit den Zugangsdaten zu verpflichten und Hivebuy unverzüglich in Kenntnis zu setzen, wenn der Verdacht besteht, dass die Zugangsdaten unbefugten Personen bekannt geworden sein könnten. Weiterhin verpflichtet sich der Kunde, alle Sicherheitsvorkehrungen, funktionellen und sonstigen Einschränkungen der SaaS-Lösung einzuhalten. Insbesondere darf der Kunde Schutz- oder Authentifizierungsmechanismen nicht entfernen, überwinden, deaktivieren oder anderweitig umgehen.

4.1.4) Sofern die Parteien im Auftragsformular eine Anbindung eines Kundensystems an die SaaS-Lösung über Interfaces bzw. Schnittstellen vereinbart haben, hat der Kunde sicherzustellen, dass sich die Interfaces bzw. Schnittstellen des jeweiligen Kundensystems auf dem jeweils aktuellen Versionsstand befinden.

4.1.5) Eine Überlassung der SaaS-Lösung durch den Kunden an Dritte ist untersagt, soweit nicht ausdrücklich abweichend vereinbart.

4.1.6) Der Kunde hat seine im Rahmen der SaaS-Lösung gespeicherten, verarbeiteten und anderweitig an Hivebuy übermittelten Daten und Inhalte (im Sinne der Ziffer 4.2.1) selbst soweit wie möglich, regelmäßig und gefahrentsprechend zu sichern. Dies gilt insbesondere für Inhalte, zu deren Aufbewahrung der Kunde gesetzlich oder aufsichtsrechtlich verpflichtet ist.

4.1.7) Die Bedienung und Konfiguration der SaaS-Lösung obliegt dem Kunden. Sofern Hivebuy dem Kunden innerhalb der SaaS-Lösung Hinweise, Empfehlungen, Tipps oder Ratschläge erteilt oder mittels der SaaS-Lösung generierte Informationen oder Analyseergebnisse zur Verfügung stellt, handelt es sich um automatisierte und unverbindliche Unterstützungsleistungen bei der Entscheidungsfindung des Kunden, die diesen nicht von der Prüfung der Richtigkeit der jeweiligen Unterstützungsleistung und der Berücksichtigung aller weiterer im Rahmen der Entscheidungsfindung relevanter Umstände befreien. Der Kunde verpflichtet sich, die jeweiligen Unterstützungsleistungen im Rahmen seiner Entscheidungsfindung sorgsam zu prüfen.

4.1.8) Der Kunde benennt Hivebuy gegenüber einen Ansprechpartner in seinem Unternehmen, der zum Empfang und zur Abgabe von Willenserklärungen im Zusammenhang mit dem Vertrag mit Hivebuy bevollmächtigt ist.

4.1.9) Der Kunde ist verpflichtet, die bei der Registrierung gemachten Angaben aktuell zu halten und Änderungen Hivebuy unverzüglich mitzuteilen. Dies umfasst insbesondere Daten zu Kontakt- und Geschäftsinformationen des Kunden.

4.1.10) Hivebuy ist berechtigt, den Zugang des Kunden zu der SaaS-Lösung zu sperren, wenn:

a) Anhaltspunkte bestehen, dass die Zugangsdaten des Kunden missbraucht wurden oder werden oder die Zugangsdaten einem unbefugten Dritten überlassen wurden oder werden oder Zugangsdaten durch mehr als eine natürliche Person verwendet werden;
b) Anhaltspunkte bestehen, dass sich Dritte anderweitig Zugang zu der dem Kunden bereitgestellten SaaS-Lösung verschafft haben;
c) die Sperrung aus technischen Gründen erforderlich ist;
d) Hivebuy gesetzlich, gerichtlich oder behördlich zur Sperrung verpflichtet ist;
e) der Kunde mehr als zwei (2) Wochen mit der Zahlung des vereinbarten Entgelts im Sinne der Ziffer 5 des Vertrags in Verzug ist;
f) der Kunde falsche oder ungültige Kontaktdaten hinterlegt hat und eine Kommunikation zwischen Hivebuy und dem Kunden nicht mehr möglich ist;
g) der Kunde falsche Bankverbindungs-, Kreditkarten oder sonstige Zahlungsdaten hinterlegt hat und eine regelmäßige Erfüllung der Leistungspflichten des Kunden nicht gewährleistet ist.

Hivebuy soll dem Kunden die Sperrung einschließlich deren Gründe spätestens einen (1) Werktag vor Inkrafttreten der Sperrung in Text- oder Schriftform ankündigen und dem Kunden die Äußerung zur Sperrung ermöglichen, soweit die Ankündigung und/oder das Abwarten der Äußerung unter Abwägung der beiderseitigen Interessen zumutbar und mit dem Zweck der Sperrung vereinbar ist. Hivebuy entsperrt die Nutzung der SaaS-Lösung durch den Kunden, wenn der Grund für die Sperrung weggefallen ist.

4.2) Inhalte

4.2.1) Alle Rechte an Informationen, Bildern, Texten, Dokumenten, Dateien und anderen Inhalten, die im Rahmen der Nutzung der SaaS-Lösung durch den Kunden an Hivebuy übermittelt oder innerhalb der SaaS-Lösung gespeichert werden („Inhalte“) verbleiben beim Kunden. Der Kunde räumt Hivebuy an diesen Inhalten jedoch ein nicht ausschließliches Nutzungsrecht ein, die Inhalte insoweit zu nutzen, wie dies zur Erfüllung des Vertrages mit dem Kunden erforderlich ist. Hivebuy ist berechtigt, an seine Erfüllungsgehilfen Unterlizenzen zu erteilen, soweit dies für die Vertragserfüllung erforderlich ist. Im Übrigen ist das Nutzungsrecht nicht übertragbar. Hivebuy ist berechtigt, über die Dauer des Vertrages hinaus Inhalte des Kunden vorzuhalten, soweit dies technisch oder rechtlich erforderlich ist. Insbesondere ist Hivebuy befugt, Sicherungskopien der vom Kunden bereitgestellten Inhalte aufzubewahren und solche Informationen vorübergehend oder dauerhaft zu speichern, die für Buchhaltungs-, Dokumentations- und Abrechnungszwecke benötigt werden.

4.2.2) Der Kunde gewährleistet, dass die von ihm übermittelten Inhalte keine Rechte Dritter (zum Beispiel Persönlichkeitsrechte, Rechte am eigenen Bild, Urheberrechte, Markenrechte etc.) verletzen oder sonst gegen geltendes Recht (zum Beispiel Datenschutzvorschriften) verstoßen („Verbotene Inhalte“).

4.2.3) Hivebuy ist berechtigt, Verbotene Inhalte unverzüglich zu sperren oder zu entfernen; dasselbe gilt, wenn Hivebuy hierzu aufgrund einer Beschwerde eines Dritten, eines Gerichtsurteils, einer behördlichen Anordnung oder gesetzlich verpflichtet ist.

4.2.4) Der Kunde gewährleistet, dass er bei der Verwendung der SaaS-Lösung sämtliche anwendbaren rechtlichen Vorschriften, insbesondere des Urheber- und Datenschutzrechts, beachten wird. Der Kunde stellt Hivebuy von sämtlichen Ansprüchen Dritter frei, die diese wegen der Verwendung der SaaS-Lösung durch den Kunden gegenüber Hivebuy geltend machen. Hivebuy wird den Kunden unverzüglich über von Dritten geltend gemachte Ansprüche informieren und die zur Verteidigung erforderlichen Informationen und Unterlagen auf Anfrage zur Verfügung stellen. Zudem wird Hivebuy die Verteidigung entweder dem Kunden überlassen oder in Absprache mit diesem vornehmen. Insbesondere wird Hivebuy von Dritten geltend gemachte Ansprüche ohne Rücksprache mit dem Kunden weder anerkennen noch unstreitig stellen. Die Regelungen dieser Ziffer gelten entsprechend für Vertragsstrafen sowie behördliche oder gerichtliche Buß- und Ordnungsgelder, soweit der Kunde sie zu vertreten hat.

4.2.5) Der Kunde verpflichtet sich, alle Maßnahmen zu unterlassen, die die Funktionsweise der SaaS-Lösung gefährden oder stören, sowie nicht auf Daten zuzugreifen und diese zu verarbeiten, zu deren Zugriff er nicht berechtigt ist. Insbesondere darf der Kunde keine Skripte verwenden, die vertrauliche Daten anderer Kunden abfragen oder andere Kunden automatisch zu anderen Internet-Angeboten außerhalb der SaaS-Lösung weiterleiten. Weiterhin muss der Kunde dafür Sorge tragen, dass seine über die SaaS-Lösung übertragenen Informationen und eingestellten Daten nicht mit schädlichen Computerprogrammen, beispielsweise Viren, Würmern, Trojanischen Pferden oder anderer Malware, behaftet sind.

5) Entgelte

5.1) Der Kunde zahlt für die Nutzung der SaaS-Lösung an Hivebuy das in dem Auftragsformular vereinbarte Entgelt.

5.2) Soweit nicht ausdrücklich abweichend vereinbart, gelten die Entgelte monatlich und netto zzgl. anwendbarer Umsatzsteuer.

5.3) Soweit nicht ausdrücklich abweichend vereinbart, erfolgt die Rechnungstellung monatlich und alle Beträge sind mit Rechnungsstellung fällig.

6) Gewährleistung

6.1) Für kostenlose Leistungen leistet Hivebuy Gewährleistung nach den gesetzlichen Bestimmungen.

6.2) Im Übrigen leistet Hivebuy für Mängel bei der Bereitstellung der SaaS-Lösung ausschließlich Gewähr nach Maßgabe der nachfolgenden Bestimmungen  .

6.3) Mängel sind wesentliche Abweichungen von dem vertraglich vereinbarten Funktionsumfang der SaaS-Lösung.

6.4) Sind die von Hivebuy nach diesem Vertrag zu erbringenden Leistungen mangelhaft, wird Hivebuy innerhalb angemessener Frist und nach Zugang einer in Schrift- oder Textform übermittelten Mängelrüge des Kunden die Leistungen nach seiner Wahl nachbessern oder erneut erbringen. Beim Einsatz von Software Dritter, die Hivebuy zur Nutzung durch den Kunden lizenziert hat, besteht die Mängelbeseitigung in der Beschaffung und Einspielung von allgemein verfügbaren Upgrades, Updates oder Patches. Als Nachbesserung gilt auch die Bereitstellung von Nutzungsanweisungen, mit denen der Kunde aufgetretene Mängel zumutbar umgehen kann, um die SaaS-Lösung vertragsgemäß zu nutzen.

6.5) Schlägt die mangelfreie Erbringung der Leistungen aus Gründen, die Hivebuy zu vertreten hat, auch innerhalb einer vom Kunden in Schrift- oder Textform gesetzten angemessenen Frist fehl, kann der Kunde die vereinbarte Vergütung um einen angemessenen Betrag mindern. Das Recht zur Minderung ist auf die Höhe des den mangelhaften Leistungsteil betreffenden monatlichen Festpreises beschränkt.

6.6) Erreicht die Minderung nach Ziffer 6.5 in zwei (2) aufeinander folgenden Monaten oder in zwei (2) Monaten eines Quartals den in Ziffer 6.5 genannten Höchstbetrag, kann der Kunde den Vertrag ohne Einhaltung einer Frist kündigen.

6.7) Der Kunde wird Hivebuy eventuell auftretende Mängel unverzüglich in Schrift- oder Textform anzeigen. Weiterhin wird der Kunde Hivebuy bei der Behebung von Mängeln unentgeltlich in zumutbarer Weise unterstützen und Hivebuy insbesondere sämtliche Informationen und Dokumente zukommen lassen, die Hivebuy für die Analyse und Beseitigung von Mängeln benötigt.

6.8) Neben Minderung oder Kündigung nach vorstehenden Ziffern kann der Kunde Schadenersatz nach Maßgabe der gesetzlichen Bestimmungen und der Haftungsbeschränkungen in Ziffer 7 verlangen.

6.9) Weitergehende Gewährleistungsansprüche sind ausgeschlossen.

6.10) Die Verjährungsfrist für Gewährleistungsansprüche beträgt ein (1) Jahr, es sei denn, sie beruhen auf Vorsatz oder grober Fahrlässigkeit oder betreffen Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit.

7) Schadensersatz und Haftung

7.1) Für kostenlose Leistungen haftet Hivebuy nach den gesetzlichen Bestimmungen.

7.2) Im Übrigen haftet Hivebuy für Vorsatz und grobe Fahrlässigkeit sowie bei Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit unbeschränkt.

7.3) In Fällen einfacher Fahrlässigkeit haftet Hivebuy bei Verletzung einer wesentlichen Vertragspflicht. Eine wesentliche Vertragspflicht im Sinne dieser Ziffer ist eine Pflicht deren Erfüllung die Durchführung des Vertrages erst ermöglicht und auf deren Erfüllung sich der Kunde deswegen regelmäßig verlassen darf.

7.4) Hivebuy haftet im Fall von Ziffer 7.3 nicht für mangelnden wirtschaftlichen Erfolg, entgangenen Gewinn und mittelbare Schäden.

7.5) Die Haftung gemäß der vorstehenden Ziffer 7.3 ist auf den im Zeitpunkt des Vertragsschlusses typischen, vorhersehbaren Schaden begrenzt.

7.6) Die Haftung für Schäden aufgrund von Datenverlust (einschließlich des Verlusts von Inhalten im Sinne der Ziffer 4.2.1) sind im Fall von Ziffer 7.3 auf den Betrag der Wiederherstellung der Daten beschränkt, der auch bei regelmäßiger und gefahrentsprechender Sicherung der Daten durch den Kunden angefallen wäre.

7.7) Die Haftungsbeschränkungen gelten zugunsten der Mitarbeiter, Beauftragten und Erfüllungsgehilfen von Hivebuy entsprechend.

7.8) Eine etwaige Haftung von Hivebuy für gegebene Garantien (die ausdrücklich als solche bezeichnet sein müssen) und für Ansprüche auf Grund des Produkthaftungsgesetzes bleibt unberührt.

7.9) Eine weitergehende Haftung von Hivebuy ist ausgeschlossen. Insbesondere ist die verschuldensunabhängige Haftung für anfängliche Mängel gemäß § 536a Abs. 1, 1. Alt. BGB ausgeschlossen.

8) Vertraulichkeit und Geheimhaltung

8.1) Die Parteien verpflichten sich, vertrauliche Informationen und Unterlagen („vertrauliche Informationen“) der jeweils anderen Partei, die entweder auf Grund der Natur der Information oder den Umständen ihrer Überlassung als vertraulich anzusehen sind oder von der offenlegenden Partei als vertraulich bezeichnet oder gekennzeichnet wurden, wie Geschäfts- und/oder Betriebsgeheimnisse zu behandeln, ausschließlich zu Zwecken dieses Softwarevertrages zu nutzen, und Dritten nicht zugänglich zu machen. Die empfangende Partei wird angemessene technische und organisatorische Maßnahmen treffen, um unbefugten Zugriff oder unbefugte Offenlegung vertraulicher Informationen zu verhindern. Als Dritte im Sinne dieser Vereinbarung gelten auch mit der jeweils empfangenden Partei verbundene Unternehmen, an denen die empfangende Partei keine Kapital- und Stimmenmehrheit besitzt. Die Mitarbeiter der empfangenden Partei sowie sonstige von ihr beauftragte Dritte (einschließlich Subunternehmer und Freelancer) sind entsprechend zu verpflichten.

8.2) Als vertrauliche Informationen gelten auf Seiten von Hivebuy insbesondere die Software der SaaS-Lösung sowie sämtliche Technologien von Hivebuy, Auskünfte, die Hivebuy über die SaaS-Lösung oder im Rahmen von Supportanfragen oder der Zusammenarbeit zwecks Fehlerbehebung erteilt, sowie dieser Vertrag einschließlich der Anlagen, das Auftragsformular und die vereinbarten Konditionen.

8.3) Die empfangende Partei ist berechtigt, die ihr zugänglich gemachten Informationen und Unterlagen an Dritte weiterzugeben, sofern und soweit dies für die Erfüllung dieses Vertrages oder die Ausübung vertraglicher Rechte unerlässlich ist oder dies aus gesetzlichen oder aufsichtsrechtlichen Gründen zwingend erforderlich ist. Bei Anfragen von Dritten, Gerichts- oder Verwaltungsbehörden betreffend die Offenlegung von vertraulichen Informationen hat die empfangende Partei die offenlegende Partei hiervon unverzüglich schriftlich oder in Textform zu informieren. Die empfangende Partei hat weiterhin die offenlegende Partei in ihren Bestrebungen zur Verhinderung der Offenlegung der vertraulichen Informationen zu unterstützen.

8.4) Die Geheimhaltungspflicht gilt nicht, soweit die vertraulichen Informationen der empfangenden Partei schon vor der Offenlegung bekannt waren, allgemein bekannt sind oder ohne Verschulden der empfangenden Partei bekannt werden oder hinsichtlich vertraulicher Informationen, die von der empfangenden Partei ohne Zugriff auf die vertraulichen Informationen der offenlegenden Partei selbst entwickelt wurden oder die der empfangenden Partei durch einen gutgläubigen, dazu berechtigten Dritten zur Kenntnis gebracht werden. Vorbehalten bleiben die zwingenden gesetzlichen Aufklärungspflichten. Beruft sich die empfangende Partei auf einen oder mehrere der vorgenannten Gründe, hat sie sie durch die Vorlage geeigneter Beweismittel zu belegen.

8.5) Die Geheimhaltungspflicht beginnt mit der Kenntnisnahme der vertraulichen Informationen und besteht über die gesamte Laufzeit dieses Vertrages. Darüber hinaus besteht die Geheimhaltungspflicht für eine Dauer von drei (3) Jahren ab Kündigung oder Ende der Vertragslaufzeit, soweit gesetzliche Bestimmungen keine längere Geheimhaltungspflicht vorsehen. Insbesondere sind etwaige Geschäftsgeheimnisse so lange vertraulich zu behandeln, wie es sich um Geschäftsgeheimnisse handelt.

8.6) Während der Geltungsdauer dieser Geheimhaltungspflicht sind vertrauliche Informationen auf erstes Verlangen von Hivebuy unverzüglich, unbeschädigt und vollständig zurückzugeben. Hivebuy kann zudem anordnen, dass bestimmte vertrauliche Informationen zu vernichten, zu löschen oder in sichere Verwahrung zu nehmen sind und dass der Vollzug von dem Kunden schriftlich bestätigt wird. Die vorstehenden Regelungen in dieser Ziffer gelten nur soweit dies die vertragskonforme Nutzung der vertraglichen Leistung nicht erheblich beeinträchtigt.

8.7) Soweit nicht in dem Auftragsformular abweichend vereinbart, ist Hivebuy berechtigt, den Kunden unter Nennung des vollen Firmennamens und unter Nutzung des Firmenlogos in Marketingmaterialien (einschließlich Webseiten) als Referenzkunden zu benennen.

8.8) Mit Ausnahme von Ziffer 8.7 begründen die vorstehenden Regelungen keinerlei immaterialgüterrechtlichen Nutzungsrechte. Sämtliche unter diesem Vertrag eingeräumten Nutzungsrechte bleiben von den vorstehenden Regelungen unberührt.

9) Datenschutz

Hinsichtlich der personenbezogenen Daten, die Hivebuy im Rahmen dieses Vertrages im Auftrag des Kunden verarbeitet, schließen die Parteien die Auftragsverarbeitungsvereinbarung in Anlage 1 („AVV“) ab. Im Fall von Widersprüchen zwischen diesem Vertrag und der AVV gehen die Regelungen der AVV vor.

10) Laufzeit und Kündigung

10.1) Nach Ablauf der vereinbarten Trial-Periode beginnt der Vertrag über die kostenpflichtige Nutzung der SaaS-Lösung mit dem in dem Auftragsformular benannten Vertragsbeginn und hat die im Auftragsformular bezeichnete Vertragslaufzeit. Ist im Auftragsformular kein Vertragsbeginn vereinbart, beginnt der Vertrag mit dem Vertragsschluss.

10.2) Der Vertrag verlängert sich jeweils um die im Auftragsformular vereinbarte Laufzeit, wenn der Vertrag nicht mit der im Auftragsformular vereinbarten Kündigungsfrist zum Ende der jeweiligen Laufzeit durch eine der Parteien schriftlich gekündigt wird. Eine automatische Verlängerung der Trial-Periode ist ausgeschlossen.

10.3) Während der Trial-Periode ist jede Partei berechtigt, den Vertrag schriftlich ohne Frist zu kündigen.

10.4) Das Recht der Parteien zur Kündigung aus wichtigem Grund bleibt unberührt. Für Hivebuy liegt ein wichtiger Grund insbesondere vor, wenn:

a) der Kunde wiederholt und trotz vorangegangener Abmahnung durch Hivebuy Verbotene Inhalte auf der SaaS-Lösung einstellt;
b) der Kunde schuldhaft gegen seine Vertraulichkeitsverpflichtung aus Ziffer 8 verstößt; oder
c) der Kunde länger als sechs (6) Wochen mit der Zahlung des vereinbarten Entgelts nach Ziffer 3.2 in Verzug ist und Hivebuy die Kündigung mit einer Frist von zwei (2) Wochen zum Inkrafttreten der Kündigung in Text- oder Schriftform dem Kunden gegenüber angedroht hat.

10.5) Bei Beendigung des Vertrages, gleich aus welchem Grund, wird Hivebuy die innerhalb der SaaS-Lösung gespeicherten Daten und Inhalte (im Sinne der Ziffer 4.2.1) des Kunden löschen. Hivebuy wird solche Daten und Inhalte aus Sicherheitsgründen für einen Zeitraum von drei (3) Monaten●  ] über die Beendigung des Vertragsverhältnisses hinaus speichern In diesem Fall gilt die in Anlage 1 vereinbarte AVV für die Zeit der Speicherung der Sicherheitskopien fort. Hivebuy ist zudem berechtigt, Inhalte und Daten über diesen Zeitraum hinaus aufzubewahren, wenn Hivebuy hierzu gesetzlich oder behördlich verpflichtet ist, insbesondere aus handels- oder steuerrechtlichen Gründen.

11) Änderungen dieses Vertrags

Hivebuy kann diesen Vertrag nach Maßgabe dieser Ziffer 11 mit Wirkung für die Zukunft ändern, soweit dies erfolgt (i) zur Umsetzung geänderter gesetzlicher Anforderungen oder Rechtsprechung, (ii) zur Umsetzung geänderter technischer Anforderungen, (iii) zur Aufrechterhaltung des Betriebs der Dienste von Hivebuy, (iv) zur Anpassung an veränderte Marktgegebenheiten, oder (v) zugunsten des Kunden. Eine Anpassung erfolgt nur, soweit sie das vertragliche Gleichgewicht zwischen Hivebuy und dem Kunden nicht zulasten des Kunden verschiebt; die Änderung einer Hauptleistungspflicht ist ausgeschlossen. Über eine Anpassung informiert Hivebuy den Kunden mindestens sechs (6) Wochen im Voraus durch eine Nachricht in Schrift- oder Textform oder innerhalb der SaaS-Lösung. Der Kunde kann der Anpassung widersprechen. Tut er dies nicht innerhalb von sechs (6) Wochen nach dem Zugang der Mitteilung über die Anpassung, gilt seine Zustimmung zur Anpassung als erteilt. Hivebuy wird den Kunden in der Mitteilung der Anpassung gesondert über die Sechs-Wochen-Frist und die Rechtsfolgen seines Schweigens sowie das Datum des Inkrafttretens der Anpassung informieren.

12) Schlussbestimmungen

12.1) Änderungen und Nebenabreden zu diesem Vertrag bedürfen der Schriftform. Dies gilt auch für diese Schriftformklausel.

12.2) Im Falle von Widersprüchen zwischen dem Auftragsformular, den Anlagen und dem Vertrag findet folgende Geltungsrangfolge Anwendung (vorrangig geltende Dokumente werden zuerst genannt):

  • Auftragsformular
  • Anlagen
  • Vertrag

12.3) Der Kunde kann gegen Forderungen von Hivebuy nur dann aufrechnen oder ein Zurückbehaltungsrecht geltend machen, wenn die Gegenforderung unbestritten oder rechtskräftig zuerkannt ist oder in einem synallagmatischen Verhältnis zu dem jeweils betroffenen Anspruch steht.

12.4) Die Vertragssprache ist Deutsch. Übersetzungen in andere Sprachen dienen ausschließlich der Verständlichkeit und sind rechtlich unverbindlich.

12.5) Es gilt das Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts.

12.6) Ausschließlicher Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit diesem Vertrag ist Berlin  , vorausgesetzt die Vertragsparteien sind Kaufleute oder der Kunde hat keinen allgemeinen Gerichtsstand in Deutschland oder in einem anderen EU-Mitgliedsstaat oder hat seinen festen Wohnsitz nach Wirksamwerden dieses Vertrags ins Ausland verlegt oder der Wohnsitz oder gewöhnliche Aufenthaltsort ist im Zeitpunkt der Klageerhebung nicht bekannt.

Anlage 1: Auftragsverarbeitungsvereinbarung

Anlage 1 – Vereinbarung zur Auftragsverarbeitung

1) Anwendungsbereich

Bei der Erbringung der Leistungen gemäß dem zwischen den Parteien geschlossenen Auftragsformular und Software-as-a-Service-Vertrag (nachfolgend zusammen „Hauptvertrag“) verarbeitet Hivebuy (nachfolgend „Auftragnehmer“) personenbezogene Daten, die der Kunde (nachfolgend „Auftraggeber“) zur Erbringung der Leistungen zur Verfügung gestellt hat und bezüglich derer der Auftraggeber als Verantwortlicher im datenschutzrechtlichen Sinn fungiert („Auftraggeber-Daten“).

Diese Vereinbarung zur Auftragsverarbeitung („AVV“) spezifiziert die Datenschutzpflichten und -rechte der Parteien im Zusammenhang mit der Verarbeitung der von dem Auftragnehmer für den Auftraggeber verarbeiteten Auftraggeber-Daten unter dem Hauptvertrag.

2) Gegenstand und Umfang der Beauftragung / Weisungsbefugnisse des Auftraggebers

2.1) Der Auftragnehmer wird die Auftraggeber-Daten ausschließlich im Auftrag und gemäß den Weisungen des Auftraggebers verarbeiten, sofern der Auftragnehmer nicht aus dem Recht der Europäischen Union oder eines Mitgliedsstaates gesetzlich dazu verpflichtet ist . In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.

2.2) Soweit nicht im Hauptvertrag abweichend vereinbart, erfolgt die Verarbeitung von Auftraggeber-Daten durch den Auftragnehmer ausschließlich in der Art, dem Umfang und zu dem Zweck wie in Anhang 1 zu dieser AVV spezifiziert; die Verarbeitung betrifft ausschließlich die darin bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen. Ändern sich diese Verarbeitungsprozesse aufgrund einer Änderung der vertraglichen Leistung des Auftragnehmers entsprechend Ziffer 2.9 oder 11 des Hauptvertrages, wird der Auftragnehmer Anhang 1 entsprechend anpassen. Für diese Anpassungen von Anhang 1finden die Ziffern 2.9 und 11 des Hauptvertrages keine Anwendung.

2.3) Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrags.

2.4) Die Verarbeitung der Auftraggeber-Daten findet grundsätzlich im Gebiet der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum („EWR“) statt. Es ist dem Auftragnehmer gestattet, Auftraggeber-Daten unter Einhaltung der Bestimmungen dieser AVV auch außerhalb des EWR zu verarbeiten oder durch weitere Auftragnehmer nach Maßgabe von Ziffer 5 dieser AVV verarbeiten zu lassen, wenn die Voraussetzungen der Art. 44 bis 48 DSGVO erfüllt sind  oder eine Ausnahme nach Art. 49 DSGVO vorliegt.

Die Regelungen zur Inanspruchnahme weiterer Auftragsverarbeiter in Ziffer 5 dieser AVV bleiben unberührt.

2.5) Die Weisungen ergeben sich aus dem Hauptvertrag. Der Auftraggeber ist darüber hinaus zur Erteilung von Weisungen über Art, Umfang, Zwecke und Mittel der Verarbeitung von Auftraggeber-Daten nur berechtigt, soweit diese aufgrund gesetzlicher, gerichtlicher oder behördlicher Vorgaben erforderlich sind. Diese Weisungen bedürfen der Schrift- oder Textform. Mündliche Weisungen wird der Auftraggeber schriftlich oder per E-Mail bestätigen. Sämtliche Weisungen sind durch die Parteien zu dokumentieren.

2.6) Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diese AVV, die DSGVO oder gegen andere Datenschutzbestimmungen der Europäischen Union oder der Mitgliedstaaten verstößt, wird er den Auftraggeber hierüber unverzüglich in Schrift- oder Textform informieren. Der Auftragnehmer ist berechtigt, die Ausführung einer solchen Weisung solange auszusetzen, bis der Auftraggeber sie in Schrift- oder Textform bestätigt. Besteht der Auftraggeber trotz der vom Auftragnehmer vorgebrachten Bedenken auf die Durchführung einer Weisung, stellt der Auftraggeber den Auftragnehmer von sämtlichen Schäden und Kosten frei, die dem Auftragnehmer durch die Ausführung der Weisung des Auftraggebers entstehen. Der Auftragnehmer wird den Auftraggeber auf gegen ihn geltend gemachte Schäden und ihm entstehende Kosten hinweisen und Ansprüche Dritter nicht ohne Zustimmung des Auftraggebers anerkennen und die Verteidigung nach Wahl des Auftragnehmers in Abstimmung mit dem Auftraggeber vornehmen oder diesem überlassen.

3) Anforderungen an Personal

3.1) Der Auftragnehmer hat alle Personen, die Auftraggeber-Daten verarbeiten, zur Vertraulichkeit zu verpflichten, soweit diese nicht einer angemessenen gesetzlichen Verschwiegenheit unterliegen.

3.2) Der Auftragnehmer stellt sicher, dass ihm unterstellte Personen, die Zugang zu Auftraggeber-Daten haben, diese nur nach Maßgabe dieser AVV sowie nach Weisungen des Auftraggebers verarbeiten, es sei denn, sie sind nach dem Recht der Europäischen Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

4) Sicherheit der Verarbeitung

4.1) Der Auftragnehmer ergreift alle geeigneten technischen und organisatorischen Maßnahmen, die unter Berücksichtigung des Stands der Technik, der Implementierungskosten und – soweit dem Auftragnehmer bekannt – der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeber-Daten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeber-Daten zu gewährleisten.

4.2) Der Auftragnehmer hat vor dem Beginn der Verarbeitung der Auftraggeber-Daten insbesondere die in Anhang 2 zu dieser AVV spezifizierten technischen und organisatorischen Maßnahmen  zu ergreifen und während der Dauer des Hauptvertrags aufrechtzuerhalten sowie sicherzustellen, dass die Verarbeitung von Auftraggeber-Daten im Einklang mit diesen Maßnahmen durchgeführt wird.

4.3) Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt unterliegen, ist der Auftragnehmer berechtigt und verpflichtet, alternative, adäquate Maßnahmen umzusetzen, um das Sicherheitsniveau der in Anhang 2 festgelegten Maßnahmen nicht zu unterschreiten. Nimmt der Auftragnehmer wesentliche Änderungen an den in Anhang 2 festgelegten Maßnahmen vor, wird er den Auftraggeber hierüber vorab informieren.

4.4) Es obliegt dem Auftraggeber, die von dem Auftragnehmer ergriffenen technischen und organisatorischen Maßnahmen zu überprüfen, insbesondere ob diese auch im Hinblick auf Umstände der Datenverarbeitung ausreichend sind, die dem Auftragnehmer nicht bekannt sind.

5) Inanspruchnahme weiterer Auftragsverarbeiter

5.1)  Der Auftragnehmer setzt bei der Verarbeitung der Auftraggeber-Daten die in Anhang 3 aufgelisteten weiteren Auftragsverarbeiter ein. Diese gelten mit Abschluss des AVV als genehmigt.

5.2) Der Auftragnehmer darf zur Verarbeitung von Auftraggeber-Daten weitere Auftragsverarbeiter unter folgender Maßgabe in Anspruch nehmen: Der Auftragnehmer informiert den Auftraggeber mindestens fünfzehn (15) Werktage vor der Inanspruchnahme des weiteren Auftragsverarbeiters in Text- oder Schriftform. Soweit der Auftraggeber nicht innerhalb von fünf (5) Werktagen  Einspruch erhebt, gilt die Inanspruchnahme als genehmigt.

5.3) Widerspricht der Auftraggeber dem Einsatz eines weiteren Auftragsverarbeiters, ist der Auftragnehmer berechtigt, nach seiner Wahl die Leistungen weiter ohne den entsprechenden Auftragsverarbeiter zu erbringen oder den Hauptvertrag sowie diese AVV zum Zeitpunkt des geplanten Einsatzes des Auftragsverarbeiters zu kündigen.

5.4) Der Auftragnehmer hat jeden weiteren Auftragsverarbeiter im Wege eines schriftlichen Vertrags ebenso zu verpflichten, wie auch der Auftragnehmer aufgrund dieser Vereinbarung gegenüber dem Auftraggeber verpflichtet ist.

5.5) Der Auftragnehmer ist verpflichtet, nur solche weiteren Auftragsverarbeiter auszuwählen und in Anspruch zu nehmen, die hinreichende Garantien dafür bieten, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung der Auftraggeber-Daten entsprechend den Anforderungen der DSGVO und dieser AVV erfolgt.

6) Rechte der betroffenen Personen

6.1) Der Auftragnehmer wird alle zumutbaren technischen und organisatorischen Maßnahmen treffen, um den Auftraggeber dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung der ihnen zustehenden Rechte nachzukommen.

6.2) Der Auftragnehmer wird insbesondere:

  • den Auftraggeber unverzüglich informieren, falls sich eine betroffene Person mit einem Antrag auf Wahrnehmung ihrer Rechte in Bezug auf Auftraggeber-Daten unmittelbar an den Auftragnehmer wenden sollte;
  • dem Auftraggeber unverzüglich alle bei ihm vorhandenen Informationen über die Verarbeitung von Auftraggeber-Daten geben, die der Auftraggeber zur Beantwortung des Antrags einer betroffenen Person benötigt und über die der Auftraggeber nicht selbst verfügt;
  • Auftraggeber-Daten auf Weisung des Auftraggebers unverzüglich berichtigen, löschen oder in der Verarbeitung einschränken;
  • sicherstellen, dass der Auftraggeber die im Verantwortungsbereich des Auftragnehmers verarbeiteten Auftraggeber-Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten kann und erhält, soweit die betroffene Person gegenüber dem Auftraggeber ein Recht auf Datenübertragbarkeit bezüglich der Auftraggeber-Daten besitzt.

7) Sonstige Unterstützungspflichten des Auftragnehmers

7.1) Der Auftragnehmer meldet dem Auftraggeber, unverzüglich nachdem ihm eine solche bekannt geworden ist, jede Verletzung des Schutzes von Auftraggeber-Daten, insbesondere Vorkommnisse, die zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu Auftraggeber-Daten führen.

7.2) Der Auftragnehmer ist verpflichtet, bei allen Verletzungen des Schutzes von Auftraggeber-Daten unverzüglich sämtliche erforderlichen und zumutbaren Maßnahmen zur Behebung der Verletzung des Schutzes der Auftraggeber-Daten und gegebenenfalls zur Abmilderung ihrer möglichen nachteiligen Auswirkungen zu ergreifen.

7.3) Ist der Auftraggeber gegenüber einer staatlichen Stelle oder einer Person verpflichtet, Auskünfte über die Verarbeitung von Auftraggeber-Daten zu erteilen oder mit diesen Stellen anderweitig zusammenzuarbeiten, so ist der Auftragnehmer verpflichtet, den Auftraggeber bei der Erteilung solcher Auskünfte bzw. der Erfüllung anderweitiger Verpflichtungen zur Zusammenarbeit zu unterstützen.

7.4) Der Auftragnehmer wird unter Berücksichtigung der ihm zur Verfügung stehenden Informationen den Auftraggeber bei der Einhaltung der in Art. 32 DSGVO genannten Pflichten unterstützen.

7.5) Für den Fall, dass der Auftraggeber verpflichtet ist, die Aufsichtsbehörden und/oder betroffene Personen nach Art. 33, 34 DSGVO zu informieren, wird der Auftragnehmer den Auftraggeber auf dessen Anfrage unterstützen, diese Pflichten einzuhalten. Der Auftragnehmer ist insbesondere verpflichtet, sämtliche potentiellen Verletzungen des Schutzes von Auftraggeber-Daten einschließlich aller damit im Zusammenhang stehenden Fakten in einer Weise zu dokumentieren, die dem Auftraggeber den Nachweis der Einhaltung etwa einschlägiger gesetzlicher Meldepflichten ermöglicht.

7.6) Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren bei etwa von ihm durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.

8) Datenlöschung und -zurückgabe

8.1) Der Auftragnehmer wird auf die Weisung des Auftraggebers hin mit Beendigung des Hauptvertrags alle Auftraggeber-Daten entweder vollständig löschen oder an den Auftraggeber zurückgeben und etwaig vorhandene Kopien löschen, sofern nicht nach dem Recht der Europäischen Union oder eines Mitgliedsstaates eine Verpflichtung des Auftragnehmers zur weiteren Speicherung der Auftraggeber-Daten besteht.

8.2) Der Auftragnehmer ist jedoch berechtigt, für einen Zeitraum von drei (3) Monaten Sicherungskopien der Auftraggeber-Daten aufzubewahren, soweit eine Löschung der Auftraggeber-Daten aus diesen Sicherungskopien technisch oder im Hinblick auf Art. 32 DSGVO unmöglich is t. Für diesen Zeitraum gelten die Rechte und Pflichten der Parteien aus dieser AVV in Bezug auf die Sicherungskopien abweichend von Ziffer 2.3 fort.

8.3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung der Auftraggeber-Daten dienen, sind durch den Auftragnehmer entsprechend der gesetzlichen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

9) Nachweise und Überprüfungen

9.1) Der Auftragnehmer hat sicherzustellen und regelmäßig zu kontrollieren, dass die Verarbeitung der Auftraggeber-Daten mit dieser AVV einschließlich des in Anhang 1 festgelegten Umfangs der Verarbeitung der Auftraggeber-Daten sowie den Weisungen des Auftraggebers in Einklang steht.

9.2) Der Auftragnehmer wird die Umsetzung der Pflichten nach dieser AVV in geeigneter Weise dokumentieren  und dem Auftraggeber alle erforderlichen Nachweise über die Einhaltung der Pflichten des Auftragnehmers nach der DSGVO und dieser AVV auf dessen Anfrage vorlegen.

9.3) Der Auftraggeber ist berechtigt, den Auftragnehmer vor dem Beginn der Verarbeitung von Auftraggeber-Daten und regelmäßig während der Laufzeit des Hauptvertrags bezüglich der Einhaltung der Regelungen dieser AVV, insbesondere der Umsetzung der technischen und organisatorischen Maßnahmen gemäß Anhang 2, selbst oder durch einen qualifizierten und zur Verschwiegenheit verpflichteten Prüfer zu überprüfen;einschließlich durch Inspektionen . Der Auftragnehmer ermöglicht solche Überprüfungen und trägt durch alle zweckmäßigen und zumutbaren Maßnahmen zu solchen Überprüfungen bei; unter anderem durch die Gewährung der notwendigen Zugangs- und Zugriffsrechte und die Bereitstellung aller notwendigen Informationen.

9.4) Die Überprüfungen und Inspektionen sollen den Auftragnehmer in seinem normalen Geschäftsbetrieb nach Möglichkeit nicht behindern und diesen nicht über Gebühr belasten. Insbesondere sollen Inspektionen bei dem Auftragnehmer ohne konkreten Anlass nicht mehr als einmal im Kalenderjahr und nur während der üblichen Geschäftszeiten des Auftragnehmers stattfinden. Der Auftraggeber hat dem Auftragnehmer Inspektionen rechtzeitig vorab in Schrift- oder Textform anzukündigen.

9.5) Gemäß den Bestimmungen der DSGVO unterliegen der Auftraggeber und der Auftragnehmer öffentlichen Kontrollen durch die zuständige Aufsichtsbehörde. Auf Anforderung durch den Auftraggeber wird der Auftragnehmer die gewünschten Informationen an die Aufsichtsbehörde liefern und dieser die Möglichkeit zur Prüfung einräumen; davon umfasst sind Inspektionen beim Auftragnehmer durch die Aufsichtsbehörde oder die von ihr benannten Personen. Der Auftragnehmer gewährt der zuständigen Aufsichtsbehörde in diesem Rahmen die erforderlichen Zugangs-, Auskunfts- und Einsichtsrechte.

10) Schlussbestimmungen

10.1) Im Fall von datenschutzrechtlich relevanten Widersprüchen zwischen dieser AVV und dem Hauptvertrag gehen die Regelungen dieser AVV vor. Im Übrigen gelten die Regelungen des Hauptvertrages entsprechend.

10.2) Über die DSGVO hinausgehende Verpflichtungen der Parteien gegenüber Dritten (insbesondere gegenüber den Betroffenen) werden durch diese Vereinbarung nicht begründet.

Anhang 1 – Verarbeitungsprozesse

Zweck der Datenverarbeitung

  • Erbringung der SaaS-Leistung gemäß den Regelungen des Hauptvertrags

Art und Umfang der Datenverarbeitung

  • Verarbeitung von Account- und Nutzungsdaten im Rahmen der Bereitstellung der SaaS-Leistung
  • Hosting/Speicherung, Verarbeitung im Rahmen der Erbringung der SaaS-Leistung

Kreis der betroffenen Personen

  • Kunde (falls natürliche Person)
  • Lieferant (falls natürliche Person)
  • Vertreter und Mitarbeiter des Kunden
  • Vertreter und Mitarbeiter des Lieferanten

Art der Daten

  • Kunde / Lieferant:
    – Stammdaten
    – Account- und Nutzungsdaten
    – Bankverbindungs- und Zahlungsdaten
    – Bestelldaten und -dokumentation
    – Budgetplanung und -daten
    – Abrechnungen zwischen Kunden und Lieferanten
  • Vertreter und Mitarbeiter:
    – Stammdaten
    – Account- und Nutzungsdaten

Anhang 2 – Technische und organisatorische Maßnahmen

Organisatorische Kontrolle

  • Bestehen interner Datenverarbeitungsrichtlinien und –verfahren, Handlungsanweisungen, Arbeitsanweisungen, Prozessbeschreibungen und Vorschriften (z.B. für die Programmierung, Prüfung und Freigabe von Prozessen mit Bezug zur Verarbeitung personenbezogener Daten)
  • Trennung von Aufgaben/Funktionen zwischen der IT-Abteilung und anderen Abteilungen
  • Klare Abgrenzung zwischen den Verantwortungsbereichen in Bezug auf die Verarbeitung von Daten als Verantwortlicher und als Auftragsverarbeiter
  • Handlungsanweisung für Mitarbeiter zu der Verarbeitung von personenbezogenen Daten
  • Festlegung von Zugriffsberechtigungen für Mitarbeiter und Dritte einschließlich der jeweiligen Dokumentationen
  • Besondere Sicherheitsbereiche mit eigener Zugriffskontrolle („closed shops“)
  • In Bezug auf Tätigkeit als Auftragsverarbeiter: Schriftliche Verpflichtung der Mitarbeiter, das Datengeheimnis zu wahren oder gesetzliche Verpflichtung der Mitarbeiter zur Verschwiegenheit nach Art. 28 Abs. 3 lit. b DSGVO
  • In Bezug auf Tätigkeit als Auftragsverarbeiter: Die Verarbeitung personenbezogener Daten erfolgt nur auf dokumentierte Anweisung des Verantwortlichen, einschließlich der Übermittlung von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation
  • In Bezug auf Tätigkeit als Auftragsverarbeiter: Auf Anfrage können dem Verantwortlichen alle Informationen zur Verfügung gestellt werden, die erforderlich sind, um die Einhaltung der AVV auch kurzfristig (innerhalb von maximal 48 Stunden) nachzuweisen

Zutrittskontrolle

  • Ausschließlich fachlich kompetente Mitarbeiter haben Zugriff auf die Datenverarbeitungssysteme
  • Regulierungen für Dritte (Besucher, Kunden, Reinigungspersonal, Handwerker, etc.)
  • Sicherstellung, dass alle Eingänge zu den Datenverarbeitungsanlagen (Räume, Wohnungen, Computerhardware und zugehörige Einrichtungen) abschließbar sind
  • Physische Sicherung aller Bereiche, in denen sich Datenträger befinden
  • Schlüsselregelung (Schlüsselausgabe etc.)

Zugriff auf Daten und Benutzerkontrolle

  • Prozesse zur Prüfung und Freigabe von Programmen
  • Erteilung von Zugangsberechtigungen nur für bestimmte Personen
  • Benutzerpasswörter für Daten und Programme
  • Benutzername und Passwörter (Richtlinien einschließlich der Passwortlänge und -wechsel)
  • Automatische Rückgabe der Benutzer-ID bei der Eingabe mehrerer falscher Passwörte
  • Schutz interner Netzwerke vor unberechtigtem Zugriff (z.B. durch Firewalls)
  • Automatisches Abmelden von Benutzer-IDs, die über einen längeren Zeitraum hinweg nicht genutzt wurden
  • Automatische Bildschirmsperre nach einer bestimmten Zeit
  • Benutzername und Passwörter auf allen Geräten

Übertragungskontrolle

  • Einsatz von Aktenvernichtern oder Dienstleistern (nach Möglichkeit mit Datenschutz-Gütesiegel)
  • Einschränkung der Nutzung von externen Speichermedien (insbesondere USB-Sticks, externen Festplatten, SD-Karten, CD- und DVD Brennern) durch technische Mittel (z.B. Software zur Steuerung von Schnittstellen oder vollständige Deaktivierung von Schnittstellen)
  • Elektronische Signatur

Eingabekontrolle

  • Elektronische Erfassung der Datenverarbeitung, insbesondere der Eingabe, Änderung und Löschung von Daten (Prüfprotokolle)
  • Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

Verfügbarkeitskontrolle

  • Zentrale Beschaffung von Hardware und Software
  • Aktualisierung der verwendeten Software (z.B. durch Updates, Korrekturen, Fehlerbehebungen, etc.)
  • Formale Freigabeverfahren für Hardware-, Software- und IT-Verfahren
  • Serverräume befinden sich nicht unter sanitären Anlagen
  • Belastbarkeit des IT-Systems, auch bei (sehr) hoher Auslastung
  • Datenspiegelung

Trennbarkeit

  • Trennung von Produktiv- und Testsystem
  • Festlegung von Datenbankrechten
  • Logische Mandantentrennung (softwareseitig)

Auswertung

  • Es besteht ein Verfahren zur regelmäßigen Überprüfung, Auswertung und Bewertung der Wirksamkeit der oben genannten technischen und organisatorischen Aspekte zur Gewährleistung der Sicherheit der Verarbeitung. Wenn ja, geben Sie bitte die Häufigkeit der Überprüfungen an: Jeden sechsten Monat.

Anhang 3 – Weitere Auftragsverarbeiter

  • AWS – Amazon Web Services
    Oskar-von-Miller-Ring 20, 80333 München
  • Vercel Inc.
    340 S Lemon Ave #4133 Walnut, California 91789
    Art der Daten: Hosted Front-End
    Zweck: sofortige Bereitstellung, automatische Skalierung und Bereitstellung personalisierter Inhalte im Frontend.
  • Twilio SendGrid
    375 Beale Street, 3rd Floor, San Francisco, CA 94105
    Art der Daten: E-Mail Adresse des Lieferanten zur Bestellung
    Zweck: Sendet die   Bestellungen   per E-Mail an   Lieferanten.